Hola Pere, El Aureate es molt conegut. Es dels classics. El Ad-aware l'elimina.
-- *--\ /--* Alfons G. Dolsa | & \\ // & | ------------------------------------ |____\@@/____| Museu de les Papallones de Catalunya < ## > ------------------------------------ \ ## / http://www.papallones.net |___/##\___| / \ ------------------ Missatge de refer�ncia Thursday, February 21, 2002, 10:41:28 PM, PBF> Avui navegant he trobat aix�. PBF> adverd.dll, un backdoor oculto en el GetRight PBF> por LeChuck | leido 347 veces desde el 14/02/02 PBF> Muchas veces, cuando bajas algo con el "Go!zila" o "GetRight", tu firewall no te pregunta si �dejas que el programa "IPC Server" conecte a Internet?, yo siempre dec�a que no, pero un d�a me PBF> decid� a buscarlo... es el "msipcsv.exe", m�s tarde, buscando informaci�n me di cuenta de que era uno de los archivos de un "Spy" (especie de troyano esp�a), el cual concretamente se llama PBF> "Aureate Spy". A mi este Spy me lo instal� el "GetRight", pero hay much�simos m�s programas que te lo instalan, como el "Go!zila". PBF> Lo que ahora pongo es un listado de todos los archivos conocidos de "Aureate Spy", el cual no se pierde nada de lo que haces en internet, y cada vez que te conectas a Internet, env�a un PBF> informe detallado a "Aureate". Este "Spy" coloca estos ficheros (solo con algunos, hay m�s): PBF> adimage.dll PBF> advert.dll PBF> advpack.dll PBF> amcis.dll PBF> amcis2.dll PBF> amcompat.tlb PBF> amstream.dll PBF> anadsc.ocx PBF> anadscb.ocx PBF> htmdeng.exe PBF> ipcclient.dll PBF> msipcsv.exe PBF> Aqu� expongo un examen del contenido y funci�n de algunas DLL�s: PBF> advert.dll: PBF> Esta DLL crea un ventana oculta cada vez que abres tu navegador. Esta crea y env�a 4 paginas de informaci�n a los servidores de Aureate usando el puerto 1749 de tu sistema, estas paginas PBF> incluyen: PBF> 1. Tu nombre seg�n como conste en el registro del sistema (no el nombre instalado con los programas). PBF> 2. Tu direcci�n IP. PBF> 3. Las DNS de tu direcci�n (les dice qu� ISP y �rea del pa�s donde te encuentras). PBF> 4. Un listado de Todo el software instalado que se muestra en el registro. PBF> 5. Esta DLL env�a la informaci�n siguiente a su servidor de todos las URL's que visitas: PBF> A.) Banners de los anuncios en que haces clic. PBF> B.) Todas las descargas que haces muestra el nombre del PBF> fichero/tama�o/fecha/hora/tipo de archivo(imagen, zip, ejecutable, etc). PBF> C.) Las fechas y el tiempo de todas tus acciones mientras usas tu PBF> navegador. PBF> D.) el n�mero de tel�fono que marcas para conectar a Internet (sacado de la configuraci�n del Acceso telef�nico a redes). PBF> E.) La contrase�a si esta guardada. PBF> amcis.dll: PBF> Este DLL modifica los claves siguientes del registro: PBF> 1. HKEY_CURRENT_CONFIG PBF> 2. HKEY_DYN_DATA PBF> 3. HKEY_PERFORMANCE_DATA PBF> 4. HKEY_USERS PBF> 5. HKEY_LOCAL_MACHINE PBF> 6. HKEY_CURRENT_USER PBF> 7. HKEY_CLASSES_ROOT PBF> Quita el registro de oleaut32.dll de la memoria suministrado por Microsoft y sustituye por sus propias llamadas. Lo registra de nuevo cuando el navegador se cierra. Crea los procesos que se PBF> comenzar�n siempre que abras tu navegador. PBF> ----------------------------------------------------------------- PBF> Creo que no hace falta seguir, con estos ejemplos se ve la "peligrosidad" de este programa, el cual viola cualquier derecho a la intimidad. PBF> SOLUCI�N: Bajaros este programa: >>> Click Aqu� <<< PBF> Si quieres ver la lista entera de programas que instalan el "Aureate Spy", click aqu�. PBF> Esto es todo, espero que os haya servido de ayuda. Saludos, LeChuck. PBF> Importante: Solo se permite la reproducci�n de este documento siempre que se mencione la fuente, el autor y se incluya un hiperenlace hacia su ubicaci�n original. PBF> Per m�s informacio:http://www.bandaancha.st/documentos.php?docid=24 -------------------------L'INTERNAUTA------------------------------- Per enviar missatges a la llista: <mailto:[EMAIL PROTECTED]> Altes, baixes i informaci� de la llista: <http://www.internauta.net> --------------------------------------------------------------------
